Neuer Cyberangriff auf den Iran entdeckt

18. Juli 2012, 07:54
32 Postings

"Jemand versucht im großen Umfang, ein Dossier zu erstellen" - "Wir wissen nicht, was sie am Ende vorhaben"

Der Iran und vier weitere Staaten im Nahen Osten sind Sicherheitsexperten zufolge seit mindestens acht Monaten einem Cyberangriff ausgesetzt. Wie das israelische Unternehmen Seculert und die russische Firma Kaspersky Lab am Dienstag mitteilten, handelt es sich um den ersten derartigen Angriff, bei dem die verwendeten Computerprogramme persische Formulierungen enthalten. "Aber wir wissen nicht, woher diese Leute stammen", sagte Seculert-Technologiechef Aviv Raff. Die genauen Ziele des "Mahdi" genannten Trojaners nannten die Unternehmen nicht. Die meisten betroffenen Rechner stünden im Iran.

"Jemand versucht im großen Umfang, ein Dossier zu erstellen"

Insgesamt seien etwa 800 Personen und Organisationen Opfer der Angriffe, darunter Finanzdienstleister, Botschaften, Versorgungsunternehmen und Maschinenbau-Studenten, hieß es. Mit "Mahdi" lassen sich demnach Dateien von infizierten Windows-Systemen stehlen, E-Mails mitlesen, Räume abhören, Schnappschüsse vom Desktop anfertigen und Textbotschaften abfangen. Vermutlich seien mehrere Gigabyte Daten von den befallenen Rechnern heruntergeladen worden. "Jemand versucht im großen Umfang, ein Dossier zu erstellen", sagte Raff. "Wir wissen nicht, was sie am Ende vorhaben."

Sinkhole-Operation

Kaspersky Lab und Seculert haben gemeinsam in einer sogenannten Sinkhole-Operation die Command-and-Control-Server (C&C) von Mahdi untergraben und konnten so Erkenntnisse zur Cyberspionage-Kampagne gewinnen. Die beiden Sicherheitsexperten haben dabei mehr als 800 Opfer identifiziert, die sich in den letzten acht Monaten im Iran, in Israel und ausgewählten Ländern auf der ganzen Welt mit den C&C-Servern von Madi verbunden haben. Die Sinkhole-Aktion legte auch die Angriffsziele offen: So scheinen die Opfer vor allem Geschäftsleute, die im Iran und in Israel an zentralen Infrastruktur-Projekten arbeiteten, sowie israelische Finanzinstitutionen, Ingenieur-Studenten und verschiedene Regierungsabteilungen aus dem Nahen Osten gewesen zu sein.

"Flame" und "Duqu"

Hinter früheren Angriffen mit anderen Computerviren wie "Flame" und "Duqu" werden staatliche Stellen vermutet. (APA, 17.7.2012)

Link

Eine ausführliche Analyse von Kaspersky Lab zu Mahdi ist hier verfügbar

Nachlese

Washington Post: USA und Israel entwickelten Flame im Cyber-Kampf gegen Iran

Obama ordnete Stuxnet-Attacken auf den Iran an

  • Die Untersuchung des Schadprogramms zeigte einen ungewöhnlich hohen Anteil an religiösen und politischen "Ablenkungs"-Dokumenten und -Bildern, die während der Infektion genutzt wurden.
    foto: kaspersky

    Die Untersuchung des Schadprogramms zeigte einen ungewöhnlich hohen Anteil an religiösen und politischen "Ablenkungs"-Dokumenten und -Bildern, die während der Infektion genutzt wurden.

Share if you care.